Firefox wciąż bez porządnej piaskownicy, więc deweloperzy Tora zdecydowali się zrobić własną

Anonimowość zapewniana przez router cebulowy Tor jużniejednokrotnie była stawiana pod znakiem zapytania, gdy organomścigania udawało się zdemaskować jego użytkowników. To niejednak sam protokół był winny, lecz przeglądarka, z którejkorzystali. Bazujący na Firefoksie Tor Browser, szczególnie gdydziała na Windowsie, podatny jest na przeróżne cyberataki.Wystarczy uruchomienie poprzez exploita kodu, który ujawni realnyadres IP użytkownika i dane o jego przeglądarce, by nieco późniejdo drzwi użytkownika zastukała policja. Mozilla nie potrafinajwyraźniej uszczelnić Firefoksa, więc troszczącym się oanonimowość swoich użytkowników deweloperom Tora pozostałozrobić to samodzielnie. Już przygotowali własną wersjęFirefoksa, która korzystając z mechanizmu bubblewrap („foliabąbelkowa”) zapewnia adekwatny poziom izolacji przeglądarki.

Wiele osób wciąż się zastanawia, dlaczego Tor Browser bazujena Firefoksie, który pod względem bezpieczeństwa znacznie dziśustępuje Chromium. Odpowiedź jest prosta. Mozilla przez sześć latprac nie zdołała ukończyć projektu Electrolysis, mającegoprzynieść do Firefoksa pełną architekturę izolowanych wpiaskownicy procesów, a szczytowym osiągnięciem jest rozdzielenieprocesów interfejsu użytkownika i treści. Mozilla prawdopodobnienigdy nie stworzy przeglądarki równie bezpiecznej jak Chromium.Zarazem jednak to Mozilla tworzy jedyną liczącą sięotwartoźródłową przeglądarkę, która zapewnia niezbędne dozachowania anonimowości interfejsy programowania – i to Mozilliprędzej zaufamy niż Google w kwestiach anonimowości.

Deweloperzy Tora zdecydowali się w tej sytuacji pójść innądrogą. Zamiast czekać na ukończenieprac nad Electrolysis, nie mówiąc już o przepisaniu Firefoksaw języku Rust, zapewniającym znacznie większą odporność nawykorzystywane przez exploity błędy w obsłudze pamięci,zdecydowali się skorzystać w przeglądarce Tor Browser mechanizmyizolacji, które oferuje Linux.

Projekt sandboxed-tor-browserto po prostu oczyszczony ze zbędnego kodu Tor Browser, owinięty w„folię bąbelkową” – bubblewrap. Jest to narzędzie, którejest minimalistyczną implementacją podzbioru przestrzeni nazwużytkownika, mechanizmu jądra, który pozwala uruchamiać aplikacjew izolowanej piaskownicy, w której mają one dostęp jedynie dowydzielonych części systemu.

W takiej piaskownicy aplikacja „widzi” jedynie swoje własneprocesy i kilka udostępnionych procesów systemowych, możekorzystać jedynie z wydzielonej komunikacji międzyprocesowej, niewidzi sieci (ma własną sieć z urządzeniem loopback), a w dodatkupilnowana jest przez filtry seccomp, limitujące to co może zrobić.Wszelkie nieautoryzowane wywołania systemowe kończą się zabiciemprocesu przez kernel. Tak samo filtry sieciowe seccomp-bpf chroniąprzed wyciekiem informacji, która mogłaby zdemaskować użytkownika.

Zamknięty w piaskownicy Tor Browser ma swoje ograniczenia:przeglądarka nie korzysta z akceleracji sprzętowej, nie jest wstanie drukować inaczej, jak do pliku, nie uruchomimy w niej żadnychwtyczek (i dobrze), a uruchomienie dźwięku czy rozszerzeń jestdość skomplikowane. Niewielka to jednak cena za praktycznąodporność na wszystkie exploity wymierzone w Firefoksa.

Jak do tej pory sandboxed-tor-browser dostępny jest tylko naLinuksie, i nie bardzo widać szanse na to, by kiedykolwiek zawitałna Windowsa. Bubblewrap wykorzystuje liczne mechanizmy linuksowegokernela, których jądro NT po prostu nie ma. Co prawda mechanizmkonteneryzacji Docker w końcu zawitał do Windows Servera 2016, alebyło to możliwe tylko dzięki wytężonej pracy programistówMicrosoftu. Bardziej prawdopodobne byłoby wykorzystanie czegośanalogicznego do mechanizmu ApplicationGuard. To rozwiązanie z systemu Windows 10 Enterprisewykorzystuje mechanizm izolacji aplikacji przez Hyper-V, zamykającją w kontenerze z ujawnionymi tylko takimi procesami systemu, jakiesą jej niezbędne.

Sęk w tym, że jak do tej pory Application Guard działa tylko zprzeglądarką Edge, i tylko w Windows 10 Enterprise. A kto by chciałużywać Tora z Edge? O wiele sensowniej użytkownikom Windowsa jestpo prostu zrobić sobie bezpieczną instalację Linuksa, tylko doanonimowego przeglądania Internetu.

Standardową, pozbawioną piaskownicy (wersję Tor Browsera (ale za to łatwą do zainstalowania) znajdziecie w naszej bazie oprogramowania, w wersjach na Windowsa i macOS-a. Użytkownicy smartfonów z Androidem mogą zaś sięgnąć po Orbota, który jest oficjalną implementacją Tora na urządzenia mobilne.